制定 平成14年12月4日
改定 平成21年4月1日
改定 平成24年1月1日
I 情報セキュリティの基本方針
教育・研究の質の向上と事務の効率化を進めている中部大学(以下「本学」という。)において、情報基盤の整備に加えて、本学の情報資産(3.参照)のセキュリティを確保し、障害が発生した場合の対策を講じておくことが重要である。
本学の情報資産を守り、安全かつ使いやすい情報システムを運用するために、情報セキュリティポリシーを策定した。本学の情報資産の利用者は、この策定した情報セキュリティポリシーを遵守しなければならない。また、法令および規則等においても規定がなされているので、法令および規則等を遵守することはいうまでもない。
1. 目的
情報セキュリティポリシーによって目指すものは、次のとおりである。
(a) 本学の情報セキュリティに対する侵害を阻止
(b) 学内外の情報セキュリティを損ねる加害行為を抑止
(c) 情報資産に関する事故・事件が発生した場合の対策
(d) 情報資産に関して、重要度による分類と適切な管理
(e) 情報セキュリティに関する情報の取得を支援
(f) その他必要とする対策
2.対象の範囲
本学の情報システムや情報資産、並びにこれらの情報資産に接する全ての者とする。
さらに本学のネットワークに、一時的あるいは永続的に、接続する全てのコンピュータとその利用者を含む。
3.用語の定義
情報資産
本学が所有又は管理する情報システム、その情報システムの内部に記録されている情報、およびその情報システムにより生成し、外部の記録媒体に記録された情報をいう。
情報システム
情報処理および情報ネットワークに関わるシステムをいう。
情報セキュリティ
情報資産の機密性、完全性および可用性を維持することをいう。
(a) 機密性
機密性とは、アクセスを認可された(authorized)者だけが情報にアクセスできることを確実にすることをいう。言い換えれば、情報を漏えいや不正アクセスから保護することをいう。
(b) 完全性
完全性とは、情報および処理方法が、正確であることおよび完全であることを保護することをいう。言い換えれば、情報の改ざんや間違いが無いように保護することをいう。
(c) 可用性
可用性とは、認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすることをいう。言い換えれば、情報の紛失・破損やシステムの停止が無いように保護することをいう。
情報セキュリティポリシー
当該大学の情報セキュリティ対策について、当該大学が総合的・体系的かつ具体的にまとめたもので、根本的な考えを示す情報セキュリティの基本方針と、情報セキュリティを確保するために遵守すべき行為および判断の基準を示す情報セキュリティの対策基準からなる。
4.情報セキュリティ対策の実施
本学の情報セキュリティポリシーの目的とする諸対策を「情報セキュリティ対策 実施マニュアル」としてまとめ、具体的に実行するものとする。
II 対策基準
1.情報の分類と安全対策
本学の情報システム内に保存された情報は、職務上定められたシステム管理者が管理しなければならない。また、どの範囲で情報を共有するか、非公開情報を公開に変更し、開示するにはどのような加工をするかを明確にしておく必要がある。
1.1 分類
(1) 非公開情報
許可された者以外が本学の情報システムに非公開情報を保管してはならない。
(2) 限定公開情報
情報の登録および閲覧は、許可された者が許可された操作だけを行えるように、認証およびアクセス制御機能を設けなければならない。
(3) 公開情報
公開情報は任意の場所からアクセス可能な性質を持つため、情報の改ざんや偽情報の流布に対して、個人情報の漏えい、プライバシーや著作権の侵害に十分注意しなければならない。また、情報の公開では、該当部分の情報だけを抽出したもの、あるいは適当な統計処理等の加工を行った情報でなければならない。
1.2 安全対策
(1) アクセス制限
情報の内容に応じて、それにアクセスが許される利用者を定めなければならない。
(2) 情報の安全性
公開情報は改ざんへの対策を講じなければならないが、公開情報の複製・加筆による偽情報の作成および流布を防止するため、原本性の維持に努める必要がある。
(3) 情報の破棄
公開・非公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に十分に注意しなければならない。
2.情報システムの管理
2.1 クライアント機器およびネットワーク接続
大学内にクライアント機器を設置(据付)する場合、利用者がクライアント機器を使用する前に電子的認証または管理の行き届いた区域での使用、あるいは両方とするべきである。また、クライアント機器をネットワークへ接続し、本学の情報システムを使用する場合は、その通信の安全性に十分な配慮が必要である。
2.2 サーバー機器
サーバー機器の設置場所として、管理の行き届いた区域を設ける必要がある。これに伴いシステム管理者は、セキュリティの保持に十分な配慮が必要である。たとえば、管理区域への出入り、データのバックアップ、ログ記録、アクセス監視、防災等全般にわたった対策が必要である。
2.3 ネットワーク機器
重要と思われるネットワーク機器は、その設置を限られたシステム管理者以外に公開すべきでない。また、その設置場所への出入りには十分な配慮が必要である。
ネットワークの利用では、事前に所定の手続きを経て、承認を得てからでなければならない。システム管理者は、ネットワークのセキュリティに十分な配慮を行わなければならない。
3.情報システムの運用
3.1 パスワード管理
自己のパスワードは秘密としなければならない。また、十分なセキュリティを維持できるように、自己のパスワードの設定および変更に配慮しなければならない。
3.2 システム管理
システムの利用は、利用資格を有する者以外に利用者IDを発行してはならない。また、利用資格を失った利用者IDは、直ちに除かなければならない。 利用状況等の解析では、必要性の要件と手続きを定めなければならない。
3.3 不正アクセス等への対応
システム管理では、外部または内部からの不正アクセスを検出した場合の緊急措置の手順を定めておかなければならない。ICT運営委員会は、不正アクセスが継続する場合には、当該情報機器またはそれを接続するネットワークに対し、定常的な利用の停止等の抑止措置をとることができる。
不正アクセス等を行った者に対しては、本学の情報セキュリティ規程を適用する。
4.評価・見直し
情報セキュリティの最高責任者は、情報セキュリティポリシーの運用実態等を把握し、改善・向上の必要があれば適切な措置を講じなければならない。
具体的には、情報セキュリティポリシー運用実態の把握、利用者の意見収集、情報セキュリティに関する診断と措置、情報セキュリティ監査の実施、情報セキュリティポリシーの更新をしなければならない。
また、情報セキュリティの最高責任者は、本学の最高意思決定機関に評価・見直しの結果を報告しなければならない。
5.組織・体制
情報セキュリティ対策の実施のための組織および体制については、別に定める。
以上